Pokaż wyniki 1 do 7 z 7

Temat: iptables na ruterze w sieci domowej

  1. #1
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie iptables na ruterze w sieci domowej

    Witam,

    tym razem chodzi o bezpieczenstwo rutera (D-Link DSL 300T) + neostarda.
    Mam ustawienia fabryczne jesli chodzi o iptables:
    Kod:
    # iptables --list
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    CFG        tcp  --  192.168.1.2          anywhere           tcp dpt:www Records
    Packet's Source Interface
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SY
    N TCPMSS set 1360
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    DROP       icmp --  anywhere             anywhere           icmp destination-unr
    eachable
    DROP       icmp --  anywhere             anywhere           state INVALID
    nie wydaje mi sie zeby to byly bezpiezne ustawienia (INPUT na Accept ..)
    Jest to siec domowa (3 kompy, DHCP). Nie bardzo wiem jak zabrac sie za pisanie regulek.. czy ktos moze pomoc? Chodzi mi przede wszystkim o to zeby ktos z zewnatrz, kto zna moje IP, nie dostal sie do mojej sieci.


    2. druga sprawa to, czy jesli mam ustanowione polaczenie SSH ze zdalnym serwerem, to czy mozliwe jest przechwycenie mojego IP (tego z ktorego lacze sie z internetem, neostrada) Domyslam sie ze jest to mozliwe przy uzyciu snifferow (?). Jesli tak jest rzeczywiscie, jak sie przed tym zabezpieczyc?

    dzieki.

  2. #2
    h3x
    h3x jest offline Banned
    Zarejestrowany
    Dec 2007
    Postów
    271

    Domyślnie

    wg mnie masz przekierowany i otwarty port konfiguracji

  3. #3
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    port konfiguracji otwarty i przekierowany to chyba niedobrze..

  4. #4
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie wlasciwe pytanie

    Zaczne od tego (prosze wszystkich o wybaczenie) ze najpierw proponuje przemyslenie polityki bezpieczenstwa , czyli chociazby takie aspekty jak dostep z zewnatrz do routera, dostep z zewnatrz do serwera wewnatrz sieci , polityka wyjscia na swiat...itp itd...
    Samo powiedzenie "zeby byl bezpieczny" nakazuje mi zaproponowac zakopanie go gleboko pod ziemia i w sejfie.
    Umiejetnosc zdefiniowania problemu lub potrzeby to polowa sukcesu.
    Zatem dla przykladu:
    1 Chce zeby mozna sie bylo na niego logowac tylko z jednego komputera z sieci wewnetrznej i wogole z zew.
    2. Chce zeby przekierowywal z zewnatrz port 22 i 80 na moj komputer bo chcialbym miec swoja stronka i ssh
    3. Chce zeby wszyscy z sieci wewnetrzej mieli wyjscie na swiat.
    .......
    To duzo lepsze niz cytowanie konsoli, idac dalej nikt tego nie zrobi za ciebie ale podpowie droge.
    A jak juz cytujesz konsole gdzie sa twoje regolki , to chociaz opisz co chciales osiagnac, bo ja nie wiem czy autor mial na mysli ACCEPT na wszystkich lancuchach czy tylko mu sie pomylilo.
    Pozdrawiam

    edit.
    Jak jestes zalogowany gdzies tam to pakiety po sieci kraza , a ich naglowki nie sa zaszyfrowane, dalej dopowiedz sam...

    PS. co do iptables ......GOOGLE ZAMKLI
    Ostatnio edytowane przez tanaka : 03-06-2008 - 21:56

  5. #5
    Zarejestrowany
    Jan 2008
    Postów
    36

    Domyślnie

    Witam,

    dzieki za te odpowiedz, Tanaka.

    Co do mojej definicji "bezpiecznego rutera". Chcialbym zeby nikt z zewnątrz nie mial dostepu. Co do sieci wewnetrznej: w moim przypadku kazdy moze miec dostep, ale chetnie bym zobaczyl jak ograniczac dostep do sieci wewnetrznym kompom.

    POlityka INPUT jest na ACCEPT. Domyslam sie ze powinno byc DROP. Ale co otworzyc? Pakiety z zewnatrz musza do mnie jakos trafiac przeciez.. (np. jesli lacze sie z serwerem zdalnym przez ssh..)

    Google nie zamkli znalazlem nawet ciekawy, PRZYSTEPNY tutorial po polskiemu:
    http://zsk.wsti.pl/publikacje/iptabl...epnie.htm#c4_3
    a takze ten:
    http://users.fulladsl.be/spb11947/bm...slnetwork.html



    Kod:
    Jak jestes zalogowany gdzies tam to pakiety po sieci kraza , a ich naglowki nie sa zaszyfrowane, dalej dopowiedz sam...
    rozumiem ze nie jest problemem namierzyc moje IP.
    probowalem zrobic to z wireshark:

    Filter:
    host xx.xx.xx.xx and port eq 22
    Capture->start
    i nic, to samo z portem 80 i 53..

  6. #6
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    super, i teraz popatrz na jeden fragment z linka ktory wkleiles:

    Pakiet, którego celem nie jest nasza lokalna maszyna, a otrzymany został z jednego z interfejsów sieciowych odbędzie swoją drogę przez:

    * łańcuch PREROUTING tablicy raw
    * łańcuch PREROUTING tablicy mangle
    * łańcuch PREROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)
    * łańcuch FORWARD tablicy mangle
    * łańcuch FORWARD tablicy filter
    * łańcuch POSTROUTING tablicy mangle
    * łańcuch POSTROUTING tablicy nat (tylko pakiet tworzący nowe połączenie)


    w tym momencie wczuj sie w role routera, dostajesz pakiet i nie jestes jego odbiorca, bo jest nim przykladowo pan krzysiu.
    jest to kazdy pakiet ktory przechodzi przez router i nie jest adresowany bezposrednio do niego ani nie jest jego zrodlem.
    Widzisz wiec ze nie ma tu lancucha INPUT co znaczy ze nawet jak input bedzie na drop to pakiety beda przechodzic do sieci wewnerznej i odwrotnie.
    Co do pomyslu zeby zrobic INPUT na DROP ...super ale popatrzmy na link ktory wkleiles, wynika z niego ze lancuch INPUT bierze udzial tylko w jednym:

    Pakiet, którego celem jest nasza lokalna maszyna, otrzymany z interfejsu sieciowego odbędzie swoją drogę przez:

    * łańcuch PREROUTING tablicy raw
    * łańcuch INPUT tablicy mangle
    * łańcuch INPUT tablicy filter

    No wiec teraz wiemy ze przez INPUT leci tylko to co wysylasz bezposrednio do routera, tak wiec musisz sprawdzic w jaki sposob dostajesz sie do routera. Telnet, ssh , www, htttps?
    Kazdy z nich ma inny port, wiec dowiedz sie jaki i wtedy dasz INPUT na DROP a dostep dostep ewentualny poprzez dany port.

    Dla jasnosci patrz narazie na INPUT, FORWARD i OUTPUT , nie przejmuj sie tablicami , jesli ich nie zdefiniujesz to domyslnie jest uzywana tablica filter.

    PS.
    Ach wlasnie nie dopisalem, ze aby komputery z sieci wewnetrzej posiadajace adresacja 192.168.X.X lub 10.X.X.X mogly sie komunikowac ze swiatem to nie dosc ze FORWARD dla nich musi byc na ACCEPT to jeszcze trzeba wlaczyc (Network Address Translation) NAT.

    Jest to jedyna tablica ktora musisz zmodyfikowac aby komunikacja sieci wewnetrzej ze swiatem przebiegala bezproblemowo.
    W tym celu zastosuj SNAT zamiast MASQUARADE. Wszystko jest ladnie opisane w linkach ktore wkleiles.
    Testuj sprawdzaj i pisz na forum
    powodzenia
    Ostatnio edytowane przez tanaka : 03-07-2008 - 20:37

  7. #7
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    niestety nie dalo sie edytowac , ale proponuje tez poczytac watek :
    http://hack.pl/forum/thread2812,problem_z_apf.html

Podobne wątki

  1. BTS domowej roboty.. 400zl
    By `^` in forum GSM/GPRS/EDGE/UMTS
    Odpowiedzi: 21
    Autor: 06-02-2008, 20:14
  2. Przeciążenia sieci!!
    By northdakota in forum Off Topic
    Odpowiedzi: 9
    Autor: 11-12-2007, 16:47
  3. Firewall na Ruterze co dalej
    By pi4r0n in forum Newbie - dla początkujących!
    Odpowiedzi: 3
    Autor: 07-25-2007, 15:59
  4. iptables + nat +dmz
    By markossx in forum Security
    Odpowiedzi: 6
    Autor: 02-16-2007, 12:34
  5. LMS + IPTables
    By szpuni in forum Linux
    Odpowiedzi: 1
    Autor: 10-10-2006, 14:59

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj